En bref : L'EU AI Act (règlement (UE) 2024/1689) est le premier cadre juridique complet au monde pour l'intelligence artificielle. Entré en vigueur le 1er août 2024, il repose sur une approche fondée sur les risques : plus le risque que votre système d'IA fait peser sur la santé, la sécurité ou les droits fondamentaux est élevé, plus les obligations sont strictes. Les dispositions relatives à l'IA à haut risque s'appliquent à partir du 2 août 2026. Les sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial.
Qu'est-ce que l'EU AI Act ?
L'EU AI Act est le règlement phare de l'Union européenne régissant le développement, la mise sur le marché et l'utilisation des systèmes d'intelligence artificielle. Publié officiellement sous la référence règlement (UE) 2024/1689, il constitue le premier cadre juridique contraignant et horizontal pour l'IA au monde.
Contrairement aux lignes directrices volontaires, il établit des obligations exécutoires dans tous les secteurs d'activité. Il s'applique indépendamment du lieu d'établissement du fournisseur, dès lors que le système d'IA affecte des personnes au sein de l'UE. Le règlement est entré en vigueur le 1er août 2024, les dispositions relatives au haut risque s'appliquant à compter du 2 août 2026.
Pourquoi l'EU AI Act a-t-il été créé ?
Quatre objectifs fondamentaux ont motivé l'EU AI Act :
- Protection des droits fondamentaux – Les systèmes d'IA prennent ou influencent de plus en plus de décisions en matière de crédit, de recrutement, de services publics et de répression. Le règlement garantit que ces décisions respectent la dignité humaine, la non-discrimination et le droit à un procès équitable.
- Prise en compte des risques pour la sécurité – L'IA déployée dans les infrastructures critiques, les dispositifs médicaux et les systèmes de transport peut présenter des risques directs pour la santé et la sécurité. Le règlement impose des exigences strictes à ces systèmes.
- Sécurité juridique pour les entreprises – Au lieu d'un patchwork de règles nationales, les entreprises bénéficient d'un cadre harmonisé unique dans les 27 États membres de l'UE.
- L'« effet Bruxelles » – Comme le RGPD avant lui, l'EU AI Act est conçu pour établir une norme mondiale. Les entreprises opérant à l'international adopteront probablement ses exigences comme référence minimale.
À qui s'applique l'EU AI Act ?
Le règlement définit plusieurs rôles assortis d'obligations distinctes :
- Fournisseurs (art. 3, paragraphe 3) – Ceux qui développent ou mettent un système d'IA sur le marché. Les fournisseurs supportent les obligations les plus lourdes, notamment l'évaluation de la conformité (art. 43) et la documentation technique (art. 11).
- Déployeurs (art. 3, paragraphe 4) – Ceux qui utilisent un système d'IA sous leur propre autorité. Les déployeurs doivent réaliser une évaluation de l'impact sur les droits fondamentaux (art. 27) et assurer le contrôle humain (art. 14).
- Importateurs et distributeurs – Les entités qui introduisent des systèmes d'IA sur le marché de l'UE ou les mettent à disposition ont des obligations de vérification.
Champ d'application territorial (art. 2) : Le règlement s'applique aux entreprises hors UE si les résultats de leur système d'IA sont utilisés au sein de l'UE. Cette portée extraterritoriale s'inspire de l'approche du RGPD.
Le cadre fondé sur les risques
L'EU AI Act classe les systèmes d'IA en quatre niveaux de risque, chacun assorti d'exigences réglementaires différentes :
Risque inacceptable (art. 5) – Interdit
Certaines pratiques d'IA sont purement et simplement interdites car elles constituent une menace inacceptable pour les droits fondamentaux :
- Systèmes de notation sociale par les autorités publiques
- Techniques de manipulation subliminale ou trompeuses
- Exploitation des groupes vulnérables (enge, handicap, situation sociale)
- Identification biométrique à distance en temps réel dans les espaces accessibles au public (avec des exceptions limitées pour les forces de l'ordre)
- Catégorisation biométrique par attributs sensibles (race, opinions politiques, orientation sexuelle)
- Collecte non ciblée d'images faciales sur Internet ou par vidéosurveillance
- Reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement
Ces interdictions sont applicables depuis le 2 février 2025.
Haut risque (art. 6) – Obligations exhaustives
Les systèmes d'IA à haut risque sont soumis aux exigences les plus complètes. Ils comprennent l'IA utilisée dans les domaines suivants :
- Infrastructures critiques (énergie, transports, approvisionnement en eau)
- Éducation et formation professionnelle (admissions, évaluations)
- Emploi (recrutement, promotion, licenciement)
- Services essentiels privés et publics (évaluation de la solvabilité, assurance, prestations sociales)
- Répression (évaluations des risques, police prédictive)
- Migration et contrôle aux frontières (traitement des visas, demandes d'asile)
- Administration de la justice et processus démocratiques
Risque limité (art. 50) – Transparence uniquement
Les systèmes d'IA qui interagissent avec des personnes ou génèrent du contenu doivent satisfaire des obligations de transparence :
- Les chatbots doivent indiquer que l'utilisateur interagit avec un système d'IA
- Les deepfakes et contenus générés par IA doivent être clairement étiquetés
- Les systèmes de reconnaissance des émotions doivent en informer la personne concernée
Risque minimal – Aucune obligation
La majorité des systèmes d'IA (filtres anti-spam, jeux vidéo, gestion des stocks) relèvent de cette catégorie et ne sont soumis à aucune exigence réglementaire. Les fournisseurs peuvent volontairement adhérer à des codes de conduite (art. 95).
Systèmes d'IA à haut risque : ce dont vous avez besoin
Si votre système d'IA est classé à haut risque, vous devez respecter un ensemble complet d'exigences :
- Évaluation de l'impact sur les droits fondamentaux (FRIA) (art. 27) – Obligation du déployeur d'évaluer l'impact sur les droits fondamentaux des personnes concernées avant le déploiement.
- Documentation technique (art. 11 + Annexe IV) – Obligation du fournisseur de documenter de manière exhaustive la conception, le développement, les tests et la validation du système.
- Avis de transparence (art. 13) – Instructions claires destinées aux déployeurs sur le fonctionnement du système, ses capacités et ses limites.
- Évaluation de la conformité (art. 43) – Procédure formelle vérifiant que le système satisfait toutes les exigences applicables avant sa mise sur le marché.
- Système de gestion des risques (art. 9) – Processus continu et itératif d'identification, d'analyse et d'atténuation des risques tout au long du cycle de vie du système d'IA.
- Gouvernance des données (art. 10) – Exigences relatives aux jeux de données d'entraînement, de validation et de test, y compris les mesures de détection et de correction des biais.
- Journalisation automatique (art. 12) – Le système doit enregistrer automatiquement les événements pour garantir la traçabilité de son fonctionnement.
- Contrôle humain (art. 14) – Mesures permettant à des personnes physiques de superviser efficacement le système d'IA et d'intervenir si nécessaire.
- Exactitude, robustesse et cybersécurité (art. 15) – Le système doit atteindre un niveau d'exactitude adéquat, être résilient aux erreurs et protégé contre les menaces de sécurité.
- Enregistrement dans la base de données de l'UE (art. 49) – Les systèmes d'IA à haut risque doivent être enregistrés dans la base de données publique de l'UE avant leur mise sur le marché.
Échéances clés
| Date | Jalon | Ce qui s'applique |
|---|---|---|
| 1er août 2024 | Entrée en vigueur | Règlement publié et juridiquement contraignant |
| 2 février 2025 | Interdictions applicables | Pratiques d'IA interdites (art. 5) exécutoires |
| 2 août 2025 | GPAI et compétences IA | Règles pour l'IA à usage général et obligations de compétences IA |
| 2 août 2026 | Obligations haut risque | Exigences complètes pour l'IA à haut risque applicables – dans moins de 5 mois |
| 2 août 2027 | Produits Annexe I | Systèmes d'IA intégrés dans des produits réglementés (machines, dispositifs médicaux, etc.) |
L'échéance du 2 août 2026 est la plus critique pour la plupart des entreprises, car elle déclenche l'ensemble des obligations relatives au haut risque, notamment la FRIA, la documentation technique et les évaluations de conformité.
Sanctions en cas de non-conformité
L'EU AI Act prévoit trois niveaux de sanctions en vertu de l'art. 99 :
| Niveau | Amende maximale | % du CA | S'applique à |
|---|---|---|---|
| Niveau 1 | 35 M € | 7 % | Pratiques d'IA interdites (art. 5) |
| Niveau 2 | 15 M € | 3 % | Non-conformité haut risque (art. 8–15, 27, 43, 49) |
| Niveau 3 | 7,5 M € | 1 % | Informations trompeuses aux autorités |
Les autorités nationales compétentes appliquent le règlement dans chaque État membre. Au niveau européen, le Bureau européen de l'IA supervise les modèles d'IA à usage général (art. 64–68).
Comment démarrer
La mise en conformité avec l'EU AI Act est un processus structuré. Voici les cinq étapes clés :
- Classifiez votre système d'IA – Utilisez notre classificateur de risques gratuit pour déterminer si votre système relève de la catégorie à haut risque. Cela prend moins de 2 minutes.
- Identifiez votre rôle – Êtes-vous fournisseur ou déployeur ? Vos obligations diffèrent considérablement selon votre rôle dans la chaîne de valeur de l'IA.
- Réalisez une analyse des écarts – Comparez vos pratiques actuelles aux exigences des art. 8–15 et de l'art. 27. Identifiez les lacunes en matière de documentation, de processus ou de mesures techniques.
- Préparez votre documentation – Générez des brouillons de documents de conformité comprenant FRIA, Documentation technique et Avis de transparence adaptés à votre système spécifique.
- Établissez une conformité continue – L'EU AI Act exige une gestion continue des risques (art. 9). Mettez en place des révisions régulières, un suivi et des procédures de mise à jour.
Questions fréquemment posées
Quand l'EU AI Act entre-t-il en vigueur ?
L'EU AI Act est entré en vigueur le 1er août 2024 selon un calendrier échelonné : interdictions depuis février 2025, règles GPAI à partir d'août 2025, obligations à haut risque à partir du 2 août 2026 et règles pour les produits de l'Annexe I à partir d'août 2027.
S'applique-t-il en dehors de l'UE ?
Oui. En vertu de l'art. 2, le règlement a une portée extraterritoriale. Il s'applique à tout fournisseur ou déployeur, quel que soit son lieu d'établissement, dès lors que les résultats du système d'IA sont utilisés dans l'UE.
Qu'est-ce qu'un système d'IA à haut risque ?
Les systèmes d'IA à haut risque sont définis à l'art. 6 et énumérés à l'Annexe III. Ils comprennent l'IA utilisée dans les infrastructures critiques, l'éducation, l'emploi, les services essentiels, les forces de l'ordre, la migration et l'administration de la justice.
Quels documents sont nécessaires ?
Pour les systèmes d'IA à haut risque, vous avez généralement besoin d'une évaluation de l'impact sur les droits fondamentaux (FRIA), d'une documentation technique, d'un avis de transparence et d'une évaluation de conformité. Les exigences exactes dépendent de votre rôle de fournisseur ou de déployeur.
Que se passe-t-il en cas de non-conformité ?
Les sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites. Pour les non-conformités à haut risque, les amendes s'élèvent à 15 millions d'euros ou 3 %. Les autorités peuvent également ordonner le retrait du marché des systèmes d'IA non conformes.